Accueil > Politiques numériques > Identités numériques et données personnelles > Administration électronique et protection des données personnelles

Administration électronique et protection des données personnelles

février 2002

Introduction du Livre Blanc "Administration électronique et protection des données personnelles" : Pierre Truche, Jean-Paul Faugére, Patrice Flichy, (Rapporteur : Maurice Ronai)


Le gouvernement a engagé, en novembre 2001, la généralisation des téléservices d’ici 2005, ainsi que la création, à cette échéance, d’un point d’entrée personnalisé offrant à chaque usager un tableau de bord et une interface unique pour gérer l’ensemble de ses démarches en cours et à venir : ce projet a reçu le nom de “mon.service-public.fr”.

Le gouvernement a souhaité que soit engagé parallèlement aux études techniques préparant ces évolutions un large débat public sur les moyens de préserver et de renforcer la protection des données personnelles dans le cadre de l’administration électronique - et notamment sur l’usage à cet effet de carte(s) électronique(s).

Ce débat public s’avère en effet indispensable.

- Indispensable, d’abord, au regard de l’objectif : une transformation radicale des relations des usagers avec administration, qui doit se faire dans le respect des principes républicains. L’administration électronique ne se veut pas seulement “ au service” de l’usager ; elle se construit “ autour ” de lui. Elle se réorganise pour lui permettre d’entreprendre et de conclure l’ensemble de ses démarches sans se déplacer ni attendre.

Mais, dès lors que l’administration électronique apporte aux usagers des services tangibles, procure de réels avantages, la question de l’égalité d’accès se pose et se posera avec toujours plus d’acuité. Cette administration électronique sera-t-elle réservée aux seules personnes ou foyers équipés d’un ordinateur et connectés à Internet ? Pourra-t-on accéder aux mêmes services à partir d’un téléphone ? A partir de bornes interactives dans les bâtiments administratifs ou de points d’accès publics ? A partir de n’importe quel guichet et avec l’aide d’un agent médiateur ?

- Ce débat public s’avère également indispensable au regard des efforts que suppose la généralisation des téléservices. Effort budgétaire, investissements informatiques, réorganisations, création de processus communs aux différents systèmes d’information, interopérabilité entre systèmes. “Passer de l’administration en silo à l’administration en réseau”, ainsi que l’exprime Thierry CARCENAC dans son rapport parlementaire Pour une administration électronique citoyenne : cet ambitieux chantier nécessite des efforts constants et considérables. Il s’effectue, de surcroît, dans un contexte d’innovation technologique rapide et donc d’incertitude.

- Ce débat public s’avère indispensable, enfin et surtout, au regard des préoccupations relatives à la protection de la vie privée que suscite la mise en place d’une interface unique entre usagers et administrations, quelle que soit son appellation : portail ou guichet personnalisé, compte ou coffre-fort citoyen.

L’usager est aujourd’hui confronté à une administration cloisonnée, chaque administration posant les mêmes questions, demandant les mêmes pièces justificatives. "L’ interface unique” devrait permettre à l’usager de communiquer certaines données à une administration, à charge pour celle-ci de les faire suivre à d’autres. Tout cela suppose que les administrations collaborent, et, le cas échéant, échangent des données entre elles.

Le déploiement des téléservices, la mise en place d’un compte administratif personnalisé, vont donner lieu à des flux de données personnelles. Il faudra donc garantir, notamment pour les plus sensibles ou les plus confidentielles d’entre elles, que seule la personne (ou le foyer) peut y accéder et réaliser ses démarches. Il faudra aussi codifier, sécuriser les modes d’accès, repenser les systèmes d’identification et d’authentification. Il faudra arbitrer entre la facilité d’emploi, l’ergonomie des modes d’identification et leur niveau de sécurisation. La mise en place de l’administration électronique pourrait permettre, en contrepartie, à l’usager de reconquérir une certaine maîtrise de ses données personnelles. Il pourrait exercer, en ligne, voire en temps réel, les droits d’accès et de rectification des données que l’administration détient sur lui. Un droit que la loi lui reconnaît depuis 1978, mais qui reste aujourd’hui assez largement théorique.

A quelles règles seront soumis les échanges de données entre services d’une même administration, entre administrations ? L’interopérabilité entre systèmes d’information entraîne-t-elle nécessairement une interconnexion généralisée des fichiers ? Il importe d’examiner de près ce que cette “ deuxième étape de l’administration électronique” implique en termes de circulation et donc de protection des données personnelles.

Le temps dont nous disposons, pour cette réflexion et pour faire nos choix, est compté. La marche vers l’administration électronique s’observe en effet dans tous les pays de l’OCDE. Les priorités, les cheminements et les stratégies de mise en œuvre convergent assez largement entre pays. Et, sur de nombreux aspects, nos partenaires européens progressent très vite.

De surcroît, l’essor de l’administration électronique coïncide avec l’apparition d’offres techniques et commerciales qui se donnent explicitement pour objet d’aider les personnes à gérer leur(s) identité(s) numérique(s) et leurs données personnelles. Ces outils et ces services sont promus par des acteurs économiques qui opèrent, d’emblée, à l’échelle mondiale. Si l’Etat conserve le monopole, régalien, de l’attestation des identités, les sphères, connexes, de l’identification, de la gestion des identités numériques, de la signature électronique donnent lieu, d’ores et déjà, à d’âpres rivalités industrielles. C’est donc aujourd’hui que nous devons déterminer nos besoins, nos décisions, en matière de gestion de ces identités, avant que les systèmes opérationnels mis en place ne s’imposent à nous.

Un débat public est donc bien nécessaire. C’est l’objet de ce rapport que de fournir un ensemble de constats, d’analyses, de réflexions et de questionnements pour le préparer. Il s’attache, dans un premier temps, à dresser la toile de fond : les nouveaux enjeux et les nouvelles approches de la protection des données personnelles (I), les problématiques qui se nouent autour des identités numériques (II), les attentes vis-à-vis de l’identité publique et le rôle de l’Etat (III).

Après avoir esquissé, à grands traits la mutation que recouvre la notion d’administration électronique, les réalisations françaises et étrangères (IV), le rapport examine le cadre juridique (loi de 1978 et doctrine de la CNIL) dans lequel l’administration électronique s’inscrit (V).

La mission qui nous était confiée n’allait pas jusqu’à la formulation de recommandations. Il nous est apparu, cependant, utile de dégager dans une deuxième partie un socle de principes généraux qui pourraient guider la mise en œuvre de l’administration électronique.

Ce rapport formule enfin dans une troisième partie une série de questions, de nature assez différente : selon les thèmes, on pressent qu’il y a des équilibres à trouver entre des exigences contradictoires ; parfois, afin de clarifier les enjeux, nous avons esquissé des scénarios.

(...)


Sommaire
Introduction

- Première partie

I. Nouveaux enjeux, nouvelles approches de la protection de la vie privée

1. Les risques et les inquiétudes en matière de vie privée se sont déplacés des “grands fichiers” vers les “traces”, des administrations vers les opérateurs privés
2. Complémentarité de la loi et de la technologie dans la protection de la vie privée : Les technologies protectrices de la vie privée : panorama des outils
3. Encadrement par le haut, contrôle par le bas
4. De nouveaux principes se cherchent : consentement, disposition des données personnelles

II. Problématiques des identités numériques

1. Multiplication, complexification, numérisation des identités
2. Vers une gestion des identités numériques
3. Grandes manœuvres commerciales et industrielles autour de la gestion des identités numériques

III. L’Etat, garant de l’identité ?

1. Nouvelle procédure : le titre fondateur
2. Une carte d’identité électronique

IV. Vers l’administration électronique

1. Quelle administration électronique ?
2. Administration électronique en France : où en sommes-nous ?
3. Ou en sont nos partenaires internationaux ?

V.Quelle protection des données personnelles pour l’administration électronique ?

1. Le cadre juridique et la jurisprudence de la CNIL
2. Contrôle social ou amélioration service rendu au public ?
3. La loi et la CNIL ne font pas obstacle aux téléservices

- Deuxième partie : Idées directrices

1. Les administrations et le public : un pacte de confiance à renégocier
2. Pluralité des accès
3. L’administration électronique n’a pas pour objectif, et ne saurait avoir pour résultat, de permettre à l’administration d’augmenter le niveau de contrôle et de surveillance des citoyens
4. Un grand nombre de téléservices s’effectuent et devront pouvoir s’effectuer de manière anonyme, sans contrôle d’accès ni identification
5. La maîtrise des données personnelles : un principe nécessaire mais à enrichir
6. Intérêt et limite des solutions dites de “coffre-fort électronique”
7. Quel que soit le degré d’implication et de délégation à des opérateurs tiers, l’Etat garde une fonction d’encadrement et de définition des règles
8. La sécurité des téléservices
9. Les choix français doivent être le plus harmonisés possible avec les choix européens

- Troisième partie : Questions pour le débat

Statut des données personnelles

1. Les personnes sont-elles propriétaires des données qui les concernent ?
2. Quelles limites au principe de maîtrise des données ?
3. Faut-il bâtir l’administration électronique sur la base des systèmes d’information traditionnels ou en déplaçant le centre de gravité des données personnelles vers l’usager ?
4. Recentrage des systèmes d’information administratifs et individualisation

Architecture de l’administration électronique

5. Code informatique, code juridique
6. Un compte unique ou plusieurs “ comptes thématiques ” ?
7. Quel type de “ compte administratif personnalisé ” ?
8. Quelles modalités d’identification et d’accès à ce compte administratif ?
9. Signature électronique et infrastructures à clefs publiques : une solution publique ou une panoplie de solutions ?
10. Faut-il un support physique pour gérer les clefs et les signatures ?
11. Une carte d’identité dotée d’une puce électronique pourrait-elle devenir l’outil d’accès aux téléservices publics ?

Droits, services, fonctionnalités

12. Comment l’usager délègue-t-il aux administrations le droit d’utiliser ses données ?
13. Peut-on rendre opérationnel le principe selon lequel tout accès ou modification des données personnelles qui concernent un usager dans les bases de données publiques devrait donner lieu à une notification ?
14. Un “ bilan des droits ” régulier pourrait-il être organisé ?
15. Secteur public, secteur privé : qui fournit les services d’administration électronique ?

Pilotage et mise en oeuvre

16. Mise en œuvre : Comment déployer l’administration électronique ?
17. Comment favoriser l’utilisation des téléservices par les usagers ?

Conclusion


Livre Blanc Administration électronique et protection des données personnelles
Pierre TRUCHE, Jean-Paul FAUGERE, Patrice FLICHY
(Rapporteur : Maurice Ronai)

Administration électronique et protection des données personnelles